Vidéo: Comprendre l'Active Directory en 7 minutes (Novembre 2024)
Le premier trimestre de cette année a été rempli à craquer avec des histoires de nouvelles sur les violations de données. Les chiffres étaient alarmants - 40 millions ou plus de clients cibles touchés, par exemple. Mais la durée de certaines violations a également choqué. Les systèmes de Neiman Marcus ont été largement ouverts pendant trois mois et la brèche de Michael, qui a débuté en mai 2013, n'a été découverte qu'en janvier. Alors, est-ce que leurs gars de la sécurité sont des incompréhensibles? Un rapport récent de Damballa, fournisseur de services de reprise après incident, suggère que ce n'est pas nécessairement vrai.
Le rapport indique que le volume des alertes est énorme et qu’il incombe généralement à un analyste humain de déterminer si l’alerte indique réellement un périphérique infecté. Traiter chaque alerte comme une infection serait ridicule, mais prendre le temps de l’analyse donne aux méchants le temps d’agir. Pire encore, au moment où l'analyse est terminée, l'infection peut avoir évolué. En particulier, il se peut qu’il utilise une URL complètement différente pour obtenir des instructions et exfiltrer des données.
Flux de domaine
Selon le rapport, Damballa voit près de la moitié du trafic Internet en Amérique du Nord et un tiers du trafic mobile. Cela leur donne de très grosses données à jouer. Au premier trimestre, ils ont enregistré du trafic sur plus de 146 millions de domaines distincts. Environ 700 000 d'entre eux n'avaient jamais été vus auparavant et plus de la moitié des domaines de ce groupe n'ont jamais été revus après le premier jour. Méfiant beaucoup?
Le rapport indique qu'un simple canal de communication entre un périphérique infecté et un domaine de commande et de contrôle spécifique serait rapidement détecté et bloqué. Pour rester sous le radar, les attaquants utilisent ce qu’on appelle un algorithme de génération de domaine. Le périphérique compromis et l'attaquant utilisent une "graine" convenue pour randomiser l'algorithme, par exemple le récit principal sur un site d'actualités donné à un moment donné. À partir du même germe, l'algorithme produira les mêmes résultats pseudo-aléatoires.
Les résultats, dans ce cas, sont une collection de noms de domaine aléatoires, peut-être 1000. L'attaquant n'enregistre qu'un seul de ces éléments, tandis que le périphérique compromis les teste tous. Lorsqu'il atteint le bon choix, il peut obtenir de nouvelles instructions, mettre à jour le logiciel malveillant, envoyer des secrets commerciaux ou même obtenir de nouvelles instructions sur les semences à utiliser la prochaine fois.
Surcharge d'information
Le rapport note que "les alertes indiquent uniquement un comportement anormal, pas une preuve d'infection". Certains des clients de Damballa reçoivent jusqu'à 150 000 événements d'alerte chaque jour. Dans une organisation où une analyse humaine est nécessaire pour distinguer le bon grain de l'ivraie, c'est trop d'informations.
Ça s'empire. Les chercheurs de Damballa ont extrait des données provenant de leurs propres clients et ont découvert que les "grandes entreprises dispersées dans le monde entier" subissaient en moyenne à 97 attaques par jour d'infections par logiciels malveillants actifs. Ces appareils infectés, pris dans leur ensemble, ont téléchargé en moyenne 10 Go par jour. Qu'envoyaient-ils? Des listes de clients, des secrets commerciaux, des plans d’affaires, ça pourrait être n'importe quoi.
Damballa affirme que la seule solution est d'éliminer le goulot d'étranglement humain et de procéder à une analyse entièrement automatisée. Étant donné que la société fournit précisément ce service, la conclusion n’est pas surprenante, mais cela ne signifie pas pour autant qu’il est faux. Le rapport cite un sondage indiquant que 100% des clients de Damballa s'accordent pour dire que "l'automatisation des processus manuels est la clé pour relever les futurs défis de sécurité".
Si vous êtes responsable de la sécurité du réseau de votre entreprise ou si vous êtes dans la chaîne de gestion de ceux qui en sont responsables, vous voudrez certainement lire le rapport complet. C'est un document accessible, pas de jargon. Si vous êtes un consommateur moyen, rappelez-vous que les alertes ne sont pas des infections et que chacune d’elles nécessite une analyse. Les analystes de la sécurité ne peuvent tout simplement pas suivre.
